top of page
Foto del escritorCyberpeace Tech

Análisis sobre el grupo de ransomware RansomHub

En los últimos años, los ataques de ransomware han aumentado de forma significativa, afectando tanto a entidades gubernamentales como a empresas privadas.


RansomHub

El crecimiento de estos ataques no solo ha afectado a sectores privados, sino que ha tenido un impacto notable en las administraciones públicas, como es el caso de la Consejería Jurídica del Ejecutivo Federal. La tendencia refleja la creciente sofisticación de los atacantes, que se enfocan en objetivos estratégicos, como los datos gubernamentales y la infraestructura crítica.


Entre los grupos más recientes y peligrosos, destaca RansomHub, una operación que ha captado la atención de expertos tras su reciente ataque al sitio oficial de un gobierno, dejando a millones de ciudadanos vulnerables. 


Aunque los detalles sobre sus creadores siguen siendo inciertos, RansomHub parece operar como un grupo organizado de cibercriminales, adoptando tácticas de Ransomware-as-a-Service (RaaS) para expandir su alcance y popularidad, facilitando la opción de contratación del grupo ejecutando ataques a cambio de una parte del rescate obtenido.

 

Este grupo prioriza instituciones gubernamentales y empresas que manejan datos sensibles y tiene un enfoque en la venta de información robada si el rescate no se paga.


Logotipo de RansomHub en la página principal de su sitio de filtraciones
Imagen 1. Logotipo de RansomHub en la página principal de su sitio de filtraciones

RansomHub está formado por hackers de diversas partes del mundo, unidos por el objetivo común de obtener ganancias económicas. El grupo menciona explícitamente que prohíbe ataques a ciertos países y organizaciones sin fines de lucro.


Ransomware Hub
Imagen 2. Ransomware Hub

En noviembre de 2024, RansomHub ejecutó un ataque contra la Consejería Jurídica del Ejecutivo Federal (CJEF) de México, robando 313 GB de información confidencial. Los datos comprometidos incluyen contratos, información administrativa y financiera, correos electrónicos y detalles personales de funcionarios.


El grupo estableció un plazo hasta el 25 de noviembre para el pago del rescate, amenazando con filtrar la información en caso de incumplimiento. Este incidente resalta la urgente necesidad de fortalecer la ciberseguridad en sistemas gubernamentales.


Para ser un asociado del grupo, RansomHub establece requisitos y normas estrictas para quienes deseen unirse. Los interesados deben contar con un ID en foros conocidos, preferentemente con un historial prolongado o buena reputación, y proporcionar evidencia de cooperación con otros grupos de RaaS, como capturas de pantalla de pagos recibidos o saldos en direcciones receptoras. Además, el proceso puede agilizarse mediante un depósito inicial reembolsable tras recibir el primer pago.

 

En alcance a su comportamiento se ha identificado distintos países objetivo entre los cuales destacan:


Países Objetivo por RansomHub
Imagen 3. Países Objetivo por RansomHub

Orígenes de RansomHub


La primera vez que RansomHub llamó la atención fue a finales de 2018, con un ataque dirigido a una cadena de hospitales en Europa del Este. Este incidente demostró la capacidad del grupo para combinar tácticas avanzadas como la explotación de vulnerabilidades críticas en servidores de acceso remoto (RDP), movimientos laterales con herramientas como Mimikatz, y el despliegue de un ransomware personalizado que cifró datos críticos y dejó los sistemas paralizados durante semanas.

 

RansomHub toma inspiración de grupos previos como Conti o LockBit, pero ha innovado en sus tácticas al implementar:

 

  • Cifrado ultrarrápido: Diseñado para paralizar sistemas en minutos.

  • Doble y triple extorsión: Exigiendo rescates no solo por el descifrado, sino también por la no divulgación y el sabotaje continuo.

  • Infraestructura modular: Permite a sus asociados personalizar ataques para distintos sectores o geografías.

 

Como Opera


RansomHub demuestra una capacidad adaptativa y modular en sus ataques, debido a la utilización de técnicas ya probadas, pero refinadas y combinadas de manera innovadora para aumentar su efectividad.


Su modelo de Ransomware como Servicio (RaaS) facilita que asociados utilicen estas TTP, asegurando una presencia constante en el panorama de amenazas global.


RansomHub añade la vulnerabilidad ZeroLogon a su arsenal en donde ha aprovechado la antigua pero crítica vulnerabilidad ZeroLogon (CVE-2020-1472), que tiene una puntuación de gravedad CVSS de 10


Vulnerabilidades de RansomHub
Imagen 4. Vulnerabilidades

Tácticas y técnicas


Acceso Inicial


Los atacantes de RansomHub suelen comprometer los sistemas de Internet y los puntos finales de los usuarios mediante el uso de métodos tales como correos electrónicos de phishing [T1566], la explotación de vulnerabilidades conocidas [T1190], y la pulverización de contraseñas [T1110.003].


El rociado de contraseñas se dirige a cuentas comprometidas a través de violaciones de datos. Los exploits de prueba de concepto se obtienen de fuentes como ExploitDB y GitHub [T1588.005]. Se han observado exploits basados en los siguientes CVE:


VULNERABILIDAD

DESCRIPCIÓN

CVE-2023-3519

Una vulnerabilidad en Citrix ADC que permite a un atacante no autenticado sin necesidad de credenciales, desencadenar un desbordamiento de búfer de pila del proceso NSPPE realizando una solicitud HTTP GET especialmente diseñada, la explotación exitosa resulta en la ejecución remota de código como root.

CVE-2023-27997

Vulnerabilidad crítica que afecta a FortiOS y FortiProxy SSL-VPN. Esta vulnerabilidad es un desbordamiento de búfer en el montón que podría permitir a un atacante remoto ejecutar código arbitrario o comandos mediante solicitudes especialmente diseñadas.

CVE-2023-22515

Una vulnerabilidad en las instancias de Confluence Data Center y Server de acceso público que permite la creación de cuentas de administrador de Confluence no autorizadas y el acceso a instancias de Confluence.

CVE-2023-46747

Vulnerabilidad crítica que afecta a los sistemas F5 BIG-IP. Esta vulnerabilidad permite a atacantes no autenticados evadir la autenticación y ejecutar comandos arbitrarios en el sistema.

CVE-2023-48788

Una neutralización incorrecta de elementos especiales utilizados en un comando SQL en Fortinet FortiClientEMS versión 7.2.0 a 7.2.2 y FortiClientEMS 7.0.1 a 7.0.10 permite a un atacante ejecutar código o comandos no autorizados a través de paquetes especialmente diseñados.

CVE-2017-0144

Es una vulnerabilidad crítica que afecta a los servidores SMBv1 en varios sistemas operativos de Microsoft, incluyendo Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012, Windows RT 8.1, Windows 10 y Windows Server 2016. Permitiendo a los atacantes remotos ejecutar código arbitrario a través de paquetes crafteados, también conocido como «Windows SMB Remote Code Execution Vulnerability [T1210]

CVE-2020-1472

Existe una vulnerabilidad de elevación de privilegios cuando un atacante establece una conexión de canal seguro Netlogon vulnerable a un controlador de dominio utilizando el protocolo remoto Netlogon (MS-NRPC).

CVE-2020-0787

Es una vulnerabilidad de elevación de privilegios que afecta al Servicio de Transferencia Inteligente en Segundo Plano (BITS) de Microsoft. Esta vulnerabilidad se debe a que BITS maneja incorrectamente los enlaces simbólicos, lo que permite a un atacante ejecutar código arbitrario con privilegios de sistema

Descubrimiento


RansomHub utilizan varias herramientas y técnicas para realizar escaneo de redes y así identificar posibles objetivos, utilizando distintos métodos, tales como:


  • AngryIPScanner: Una herramienta que permite escanear direcciones IP y puertos para identificar dispositivos activos en una red.

  • Nmap: Una poderosa herramienta de escaneo de redes que puede descubrir dispositivos, servicios y vulnerabilidades en una red.

  • Métodos basados en PowerShell: Utilizan comandos integrados de PowerShell para realizar escaneo y reconocimiento de la red sin necesidad de instalar software adicional.


Escalada de privilegios y movimiento lateral


Después del acceso inicial, se busca contar con privilegios elevados con fines de llevar a cabo el proceso de persistencia mediante las siguientes técnicas:


  • Crean cuentas de usuario para persistencia

  • Reactivan cuentas deshabilitadas

  • Utilizan Mimikatz [S0002] para recopilar credenciales y escalar privilegios a SYSTEM

  • Se mueven lateralmente usando RDP,PsExec [S0029], Anydesk, Connectwise, N-Able, Cobalt Strike y Metasploit.


Exfiltración de datos


La exfiltración de datos por parte de RansomHub varía según el atacante en donde se han observado métodos como PuTTY, Amazon AWS S3, solicitudes HTTP POST, WinSCP, Rclone, Cobalt Strike, y Metasploit.


Cifrado


RansomHub utiliza el algoritmo de cifrado Curve 25519 para cifrar archivos del sistema. Este algoritmo emplea una clave pública/privada única para cada víctima.


Para cifrar archivos en uso, el ransomware intenta detener los siguientes procesos en el sistema:

Descubrimiento de Procesos para Encriptación






"vmms.exe"

"notepad.exe"

"onenote.exe"

"steam.exe"

"visio.exe"

"agntsvc.exe"

"msaccess.exe"

"ocautoupds.exe"

"outlook.exe"

"synctime.exe"

"winword.exe"

"dbsnmp.exe"

"mspub.exe"

"ocomm.exe"

"powerpnt.exe"

"vmwp.exe"

"wordpad.exe"

"dbeng50.exe"

"svchost.exe"

"ocssd.exe"

"explorer.exe"

"thebat.exe"

"xfssvccon.exe"

"encsvc.exe"

"vmcompute.exe"

"oracle.exe

"sql.exe"

"thunderbird.exe”

"TeamViewer.exe"


¿Quién está en riesgo y por qué?


RansomHub apunta a sectores estratégicos donde puede maximizar el impacto financiero y operacional, incluyendo:

Sector

Motivo

Impacto

Salud y Atención Médica

Instituciones de salud tienen baja tolerancia a interrupciones, lo que las hace propensas a pagar rescates rápidamente.

Han dirigido campañas contra hospitales, clínicas y laboratorios, apuntando a historiales médicos electrónicos (EMR) y sistemas de diagnóstico.

Educación

Universidades y escuelas manejan grandes volúmenes de datos sensibles, pero carecen de presupuestos robustos para ciberseguridad.

Atacan redes universitarias para cifrar sistemas y, en ocasiones, exfiltrar investigaciones valiosas.

Servicios Públicos y Energía

Interrumpir servicios esenciales genera presión pública para el pago del rescate.

Enfocados en infraestructura crítica, apuntan a sistemas SCADA y redes de control industrial (ICS).

Servicios Financieros

Las instituciones financieras manejan datos sensibles y fondos, lo que las convierte en objetivos lucrativos.

Roban datos de clientes y cifran sistemas de pago para maximizar la presión.

Manufactura

Empresas de manufactura dependen de procesos automatizados y sistemas IoT, vulnerables a interrupciones críticas.

El cifrado de sistemas de producción puede detener cadenas de suministro completas.

Gobierno y Sector Público

Gobiernos locales y regionales suelen tener sistemas obsoletos, facilitando los ataques.

Interrumpen servicios esenciales como expedición de documentos o comunicaciones públicas.

Tecnología y Telecomunicaciones

Empresas tecnológicas manejan datos sensibles y operan redes globales, siendo objetivos de alto valor.

Cifran sistemas de servidores y exfiltran información para doble extorsión.

Transporte y Logística

La naturaleza interconectada del sector lo hace vulnerable a interrupciones significativas con efectos dominó.

Apuntan a sistemas de gestión de rutas, logística y control de inventarios, causando parálisis operativa.

Victimas


Consejería Jurídica del Poder Ejecutivo Federal (CJEF) (noviembre de 2024)


El grupo de ransomware RansomHub ha incluido al Gobierno de México en su lista de víctimas, específicamente atacando a la Consejería Jurídica del Poder Ejecutivo Federal (CJEF). Según datos revelados en la dark web, el grupo RansomHub ha secuestrado 313 GB de información confidencial de la CJEF. Esta filtración de datos críticos podría comprometer tanto la seguridad operativa de la institución como la confidencialidad de información gubernamental clave.


El ataque compromete información altamente sensible, entre la que se incluyen:


  • Contratos administrativos: Documentos clave relacionados con acuerdos y transacciones del gobierno.

  • Datos financieros: Información relacionada con presupuestos, pagos y recursos fiscales.

  • Información sobre seguros: Detalles críticos sobre coberturas y políticas de seguros utilizados por el gobierno.

  • Listas de funcionarios: Información personal de funcionarios, incluyendo nombre completo, fotografía, RFC, correo institucional, y área de trabajo.


Como parte de su modus operandi, RansomHub ha publicado un contrato de arrendamiento de inmuebles utilizado por la CJEF, como evidencia del ataque. Este documento resalta el acceso de los atacantes a información interna crucial, ya que la CJEF desempeña un papel clave en la validación de instrumentos jurídicos y la elaboración de proyectos de ley para el presidente de la República.


El grupo de ciberdelincuentes ha dado un plazo de 10 días para que el gobierno de México pague el rescate, aunque la cantidad solicitada no ha sido revelada.


Si no se cumple con el pago, RansomHub amenaza con liberar toda la información robada en la deep web, lo que no solo afectaría la operatividad de la CJEF, sino que también expondría la seguridad de funcionarios y la confidencialidad de decisiones clave del gobierno mexicano, con efectos potencialmente devastadores a largo plazo.

 

Ataque al Departamento de Salud de Florida (1 de julio de 2024)


RansomHub se atribuyó un ataque al Departamento de Salud de Florida, destacando al sector sanitario como un objetivo recurrente debido a la criticidad de sus operaciones y la sensibilidad de sus datos. Adicionalmente, el dominio floridahealth[.]gov fue identificado en tres registros de robo y siete presuntas violaciones de datos. Este caso refuerza la amenaza constante hacia instituciones médicas y evidencia la sofisticación de los ataques dirigidos.


RansomHub
Imagen 5.

Filtración de la base de datos de clientes de Rite Aid (3 de agosto de 2024)


RansomHub fue señalado por filtrar una base de datos de 12,316,882 registros de clientes de Rite Aid. Los datos comprometidos incluyen nombres, fechas de nacimiento, números de licencias de conducir y otra información sensible. Este ataque subraya la capacidad del grupo para manejar y divulgar grandes volúmenes de datos robados, generando un impacto significativo en las víctimas.


RansomHub
Imagen 6.

Ataque de ransomware a Patelco Credit Union (29 de junio - 15 de agosto de 2024)


Patelco Credit Union sufrió una violación de datos que afectó a 726,000 clientes y paralizó sus operaciones durante dos semanas. RansomHub publicó los datos comprometidos en su portal de extorsión tras negociaciones fallidas. La información robada incluye nombres completos, números de Seguro Social, licencias de conducir, fechas de nacimiento y correos electrónicos. Como respuesta, Patelco ofreció monitoreo de crédito y advertencias sobre posibles estafas de phishing dirigidas a los afectados.


RansomHub
Imagen 7.

Otras Víctimas en México


RansomHub no es un grupo aislado; ha atacado a diversas entidades mexicanas de alto perfil, entre las víctimas más relevantes se encuentran:


  • Grupo Aeroportuario del Centro Norte (OMA), con más de 2.2 terabytes de datos filtrados, incluyendo información confidencial sobre auditorías y seguridad aeroportuaria.

  • Universidad Nacional Autónoma de México (UNAM), donde más de 37,000 usuarios fueron afectados por la exposición de información personal.

  • Mabe, que sufrió la amenaza de filtración de datos bancarios y personales de miles de clientes.


En el sitio de filtración de datos, parece que los propios asociados se encargan de las publicaciones, la forma en que se enumeran las víctimas varía, incluyendo diferencias en la presentación de las evidencias de cada ataque y en el idioma utilizado.


Algunas publicaciones incluyen enlaces a servicios de alojamiento para compartir documentos como prueba del hackeo, mientras que otras incluyen capturas de pantalla directamente en la publicación filtrada.


Victimas de RansomHub
Imagen 8. Victimas de RansomHub

Acciones Inmediatas ante Ataques de Ransomware


  • Aislar el sistema afectado: desconectar el equipo infectado de la red (Wi-Fi, Ethernet, Bluetooth) para evitar la propagación del ransomware a otros dispositivos. 

 

  • Detener la propagación en la red: identificar y desconecta otros sistemas sospechosos de estar comprometidos, incluyendo servidores y dispositivos compartidos en la red. 

 

  • Contactar al equipo de ciberseguridad: notificar de inmediato al equipo interno o a los expertos externos para coordinar una respuesta adecuada. 

 

  • No pagar el rescate: aunque tentador, pagar el rescate no garantiza el acceso a los datos y podría financiar futuras actividades criminales. 

 

  • Preservar evidencia: no formatear ni reinicies los sistemas afectados. Realiza copias forenses de los discos para investigaciones futuras y análisis técnico. 

 

  • Identificar el tipo de ransomware: analizar el mensaje de rescate y los archivos cifrados para determinar qué familia de ransomware está involucrada. Usa herramientas como [ID Ransomware](https://www.nomoreransom.org) para esta tarea. 

 

  • Activar el plan de respuesta a incidentes: si tu organización cuenta con un plan predefinido, síguelo al pie de la letra para coordinar la contención, análisis y recuperación. 

 

  • Cambiar credenciales comprometidas: cambiar las contraseñas de las cuentas afectadas, especialmente si el ransomware se propagó a través de credenciales robadas. 

 

  • Notificar a las partes relevantes: comunicar el incidente a los reguladores, socios o clientes si datos sensibles han sido comprometidos, cumpliendo con las normativas aplicables (por ejemplo, GDPR o CCPA). 

 

  • Consultar recursos externos: accede a iniciativas como [No More Ransom](https://www.nomoreransom.org) para obtener herramientas de descifrado gratuitas, si están disponibles para el tipo de ransomware en cuestión. 

 

Mitigación contra ransomware


  • Respaldo de datos: Implementar una estrategia sólida de respaldos regulares para garantizar la disponibilidad de datos críticos en caso de un ataque.


  • Capacitación en seguridad: Educar a los empleados sobre amenazas de ransomware, tácticas de phishing y buenas prácticas de ciberseguridad para reducir riesgos.


  • Gestión de actualizaciones: Mantener los sistemas, software y aplicaciones actualizados con parches de seguridad para cerrar vulnerabilidades conocidas.


  • Segmentación de red: Separar los sistemas críticos y datos sensibles de las áreas menos seguras para limitar el impacto de infecciones.


  • Control de acceso: Aplicar el principio de mínimo privilegio para restringir accesos y minimizar el alcance de los ataques.


  • Seguridad de correo y web: Usar filtros avanzados para detectar y bloquear archivos maliciosos, enlaces y phishing.


  • Protección de endpoints: Utilizar soluciones de seguridad como antivirus, sistemas de detección de intrusiones (IDS) y herramientas EDR para mitigar amenazas en los dispositivos.


  • Plan de respuesta a incidentes: Diseñar y probar regularmente un plan de respuesta enfocado en ataques de ransomware que incluya identificación, contención, mitigación y recuperación.


  • Auditorías de seguridad: Realizar auditorías, evaluaciones de vulnerabilidades y pruebas de penetración para identificar y corregir fallas de seguridad.


  • Verificación de respaldos: Probar regularmente los datos respaldados para asegurar su integridad y funcionalidad, y almacenarlos de forma segura contra accesos no autorizados.


Conclusión


El ataque a la CJEF es un recordatorio de la creciente amenaza que representa el ransomware, no solo para los gobiernos, sino también para todos los sectores de la sociedad.

La rápida evolución de las tácticas de los atacantes requiere una respuesta igualmente rápida y efectiva por parte de las instituciones y las empresas. Es fundamental que México y sus entidades refuercen sus medidas de ciberseguridad y trabajen de manera conjunta con aliados internacionales para proteger su infraestructura crítica de estos peligros.


El fortalecimiento de la ciberseguridad es ahora más importante que nunca para asegurar la estabilidad y el desarrollo del país, esto debido a que RansomHub ha demostrado ser un actor significativo en el ecosistema del ransomware, atacando sectores críticos y explotando la vulnerabilidad de grandes organizaciones.


El factor humano sigue siendo uno de los puntos más débiles en la ciberseguridad.

La capacitación continua en ciberseguridad, particularmente en el reconocimiento de correos electrónicos de phishing, enlaces sospechosos y prácticas inseguras, es fundamental para reducir el riesgo de infección. Los empleados deben ser entrenados para detectar signos de un ataque de ransomware y seguir procedimientos de seguridad, como no hacer clic en enlaces desconocidos y reportar actividades sospechosas de inmediato.


Además de capacitar a los empleados, las organizaciones deben formar equipos de respuesta a incidentes bien entrenados y actualizados sobre las últimas tácticas de ransomware, para garantizar una respuesta rápida y efectiva en caso de ataque.


Bibliografías:



0 comentarios

Entradas recientes

Ver todo

Comments


bottom of page